Запретить пользователям загружать определенные файлы

Типичный технический подход заключается в установкеHTTP-прокси-сервергде вы реализуете свои ограничения/политики загрузки.

Затем вы можете использовать GPO, чтобы принудительно использовать прокси-сервер (при условии, что все ваши компьютеры являются членами домена AD), а на следующем этапе вы заблокируете прямой доступ в Интернет на своем шлюзе/брандмауэре.

Обычно технической реализации предшествует согласование Политики использования Интернета.(Шаблон SANS)с руководством и вашими пользователями, поскольку люди могут (и вполне обоснованно) жаловаться на потенциальные проблемы с конфиденциальностью, которые они могут связывать с «контролируемым доступом в Интернет».

Это зависит от того, как пользователи используют рабочие станции, о которых идет речь, — должны ли они сохранять файлы или это обычные рабочие станции? Проблема в том, что вы не хотите, чтобы они слушали музыку, или в том, что они загружают вирусы вместе со своей музыкой? (Я также не знаю вашего бюджета.)

В зависимости от этого я бы, вероятно, использовал несколько подходов.

1. Прокси-сервер, который HBrujin и Benjamin Dénécé хорошо описали. Есть как с открытым исходным кодом, так и платные варианты. Это должно быть первой линией обороны.
2. Некоторые антивирусные программы блокируют загрузку файлов с определенными расширениями — может быть, ваша программа — одна из них? (Есть ли у вашего антивируса централизованная консоль управления?)
3. Групповая политика ограничения программного обеспечения, запрещающая использование распространенных программ-распаковщиков, iTunes и т. д.
4. Заблокируйте USB-накопители с помощью групповой политики (чтобы они не переносили музыку, видео и вирусы из дома).
5. Если они вообще не должны сохранять материалы на своих рабочих станциях, такой продукт, какМорозильная камераили вам может помочь конкурент. (Если вы пойдете по этому пути, вам, возможно, придется разрешить USB-накопителям предоставить им законное место для сохранения файлов.)

Удачи!

Сейчас я ищу программу, которая поможет нам предотвратить или, по крайней мере, сразу после завершения загрузки просканировать файл на наличие нежелательных файлов.

Начните с брандмауэра следующего поколения

Установите UNTANGLE в качестве маршрутизатора. С его помощью вы можете запретить загрузку файлов с расширениями типа mp3, mov и т. д. Кроме того, вы можете настроить сканирование MIME для блокировки файлов с поддельными расширениями.

Вы можете настроить ведение журнала и отправку оповещений по электронной почте о различных сетевых инцидентах.

Я совершенно уверен, что это будет очень трудно исправить через GPO.

Невозможно установить фильтрацию файлов с помощью gpo на локальных жестких дисках. Одна вещь, которую вы можете сделать с помощью ad и gpo, это запретить сохранение любых данных на локальном диске и перенаправить пользователей на сетевой ресурс, где вы можете настроить фильтрацию файлов на Windows Server с помощью диспетчера ресурсов файлового сервера и эффективно остановить сохранение определенных типов файлов.

Другая идея — запустить простой пакетный файл, который будет периодически сканировать жесткий диск и удалять все файлы с указанными расширениями.

Я думаю, что устройство UTM, такое как Watchguard или Sonicwall, будет более дешевым вариантом в долгосрочной перспективе, чем тратить все это время, пытаясь заставить групповую политику справиться с интернет-трафиком. Придерживайтесь того, что создано для этой работы...